[Montreal-pm] Quelques notes sur la dernière réunion
Olivier Bilodeau
obilodeau at inverse.ca
Jeu 6 Sep 06:22:33 PDT 2012
On 09/05/2012 04:22 PM, Luc St-Louis wrote:
> On se demandait depuis quand suidperl n'était plus distribué, eh bien
> c'est depuis 5.12. En gros, personne ne le maintenait, et généralement,
> sudo peut servir à la place. Lire d'autres détails ici si ça vous
> intéresse:
>
> http://www.gossamer-threads.com/lists/perl/porters/234561
sudo demande de la configuration. Dans certains cas ce n'est pas
pratique. Nous on a opté pour le wrapper en C.
Voir `perldoc perlsec` sous "Security Bugs" ou encore:
http://perldoc.perl.org/perlsec.html#Security-Bugs
Voici notre setuid C wrapper, assez simple:
https://github.com/inverse-inc/packetfence/blob/fix/perl-suid/src/pfcmd.c
La seule chose à ne pas oublier c'est de changer son shebang line pour
ajouter -T (taint mode). suidperl forçait le taint mode et tout script
avec de grands privilèges et qui traite de l'input usager devrait rouler
sous le taint mode.
De passer au wrapper C ne force plus le Taint mode comme suildperl le
faisait. D'où la raison de l'ajouter à la main.
--
Olivier Bilodeau
obilodeau at inverse.ca :: +1.514.447.4918 *115 :: www.inverse.ca
Inverse inc. :: Leaders behind SOGo (www.sogo.nu) and PacketFence
(www.packetfence.org)
Plus d'informations sur la liste de diffusion Montreal-pm